SmarterTools beschuldigd van het stilletjes patchen van zeer kritiek lek
Softwarebedrijf SmarterTools heeft een kritieke kwetsbaarheid in SmarterMail, waardoor een ongeauthenticeerde aanvaller willekeurige code op de mailserver kan uitvoeren, stilletjes gepatcht, zo beweert securitybedrijf watchTowr. Klanten van de mailoplossing zijn zeer verontwaardigd over de situatie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange.
Op 29 december maakte de Singaporese overheid bekend dat er een zeer kritieke kwetsbaarheid in SmarterMail aanwezig is, aangeduid als CVE-2025-52691. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden naar elke locatie op de mailserver uploaden, wat kan leiden tot remote code execution. Gebruikers werden door de autoriteiten opgeroepen om meteen naar build 9413 te updaten. Het CVE-nummer voor de kwetsbaarheid verscheen op 28 december.
Onderzoekers van watchTowr zagen dat build 9413 al op 10 oktober vorig jaar was gepubliceerd. In de release notes wordt alleen gesproken over "general security fixes". Er wordt nergens melding van CVE-2025-52691 gemaakt. De onderzoekers analyseerden de genoemde versie en ontdekten dat deze build het probleem inderdaad verhelpt. Ook maakten ze een technische analyse van de kwetsbaarheid, waarin ze stellen dat SmarterTools het lek stilletjes heeft gepatcht.
Klanten van SmarterTools zijn zeer verontwaardigd over het achterhouden van deze belangrijke informatie, zo blijkt uit een forumtopic op de website van het softwarebedrijf. SmarterTools zegt dat het de informatie heeft achtergehouden om aanvallers niet wijzer te maken en klanten de tijd te geven om de update te installeren. Het softwarebedrijf heeft naar aanleiding van alle kritiek gisteren een e-mail over de kwetsbaarheid naar klanten gestuurd. In het forumtopic maken verschillende klanten ook melding dat ze malware op hun mailserver hebben aangetroffen. Of dit het gevolg is van actief misbruik van CVE-2025-52691 is nog niet bevestigd.
Dan kun je die CVE alleen achteraf aan je release notes toevoegen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?